点评:Group-IB威胁狩猎框架

大型组织的IT基础设施非常异构。它们具有运行各种操作系统和访问内部系统的端点,服务器和移动设备。在这些系统上,有大量的不同的工具 - 从开源数据库和Web服务器到组织金融部门使用的商业工具。此外,这些应用程序现在也可以部署在不同的云上以实现进一步的弹性,为已经错综复杂的基础设施增加了更复杂的程度。

管理IT基础架构构成了一个难题,特别是在这些大流行时期,员工往往远程工作。在此基础设施中构建额外的安全性是一个复杂的事业,这个项目的成功将取决于安全人员和可以减少负担的安全监测,检测和响应工具的可用性。不幸的是,由于保护基础设施的复杂性和巨大的攻击向量,组织的到期日本安全监测可能会落后。

这个问题的一个解决方案是使用可以在组织基础设施中提供可见性的技术,同时收集和检测异常事件以及响应它们。

几年前,安全专家安东尼Chuvakin建议EDR(端点检测和响应)的概念,以轻量级端点代理的形式填充当时可用的检测和响应能力之间的间隙。

EDR已经进入了概念 XDR. –扩展检测和响应–这代表了各种基础架构层(网络流量,电子邮件,端点,云实例,共享存储等)之间的防御和响应能力的合并。

要成功,XDR应检查不同的图层,记录和商店事件,以及–基于其高级分析功能–将不同层相关联的事件以检测高层分析师应检查的事件。目标是更快的检测和响应周期,减少时间攻击者可以在基础架构中潜伏,而且还可以减少SOC分析师的警报疲劳并防止倦怠。

我们已经测试了Group-IB的 威胁狩猎框架 (THF),它讲述了事件及其汉语的全部故事,可以在不同基础设施层之间关联事件和警报,在分析师需要额外关注的额外关注之前。其目的是做被动安全监控,而且还要揭示攻击并减少时间攻击者在您的系统上花费。它依赖于Group-IB的全球威胁情报功能,可以为分析师提供有关安全警报和事件的其他语境。

方法

对于此评论,我们使用了云传感器和Huntbox(管理系统)实例。我们安装了Huntpoint,一个单独的轻量级端点代理,在虚拟化(KVM)端点上。端点的操作系统是Windows 10,其中包含最新的补丁,我们手动安装Huntpoint。对于某些用例,我们禁用Windows Defender(Microsoft的防病毒解决方案),以便我们可以在野外测试Huntpoint检测和阻塞功能。

在端点上,我们执行了简单的测试操作,以查看这些事件是否稍后在THF中可用。我们:

  • 访问和下载的恶意文件
  • 使用带有VBS脚本的Windows脚本主机
  • 使用powershell以obfuscate命令执行
  • 制作了WMIC流程呼叫
  • 用mimikatz倾倒NTLM哈希
  • 用netcat打开一个绑定壳

我们还对Ryuk赎金软件进行了完全感染,并试图隔离主机。

要测试电子邮件检测功能,我们使用了另外嵌套或密码保护的各种恶意文档(MS Word文件,PDF)和存档。我们将这些恶意文档作为电子邮件附件从ProtonMail帐户发送,以避免电子邮件被阻止被传送到被监视的邮箱。

我们测试了THF多边形,恶意软件爆炸平台,具有相同的文件集。我们通过将它们上传到多边形来手动测试Ryuk和Sigma赎金软件。从Huntpoint自动发送来自测试数据集的其他恶意文件。收集的指标用于测试IB威胁情报组& Attribution system.

在测试期间,我们对这些成功因素保持着帮助我们对产品的终意见进行了帮助:

  • 检测能力(端点事件,文件和电子邮件)
  • 易用性和集成功能
  • 威胁情报数据质量,同时为现有事件提供上下文
  • 资源消耗(EDR的CPU / RAM等)

威胁狩猎框架

Group-IB.的威胁狩猎框架(THF)是一种解决方案,可帮助组织确定其安全盲点,并为其和OT环境提供最关键的服务的整体保护层。

框架的目标是通过检测异常活动和事件来揭示未知的威胁和对手,并将它们与集团-IB的威胁情报相关联&归因系统,能够将网络安全事件归因于特定对手。换句话说,当您在网络流量中发现可疑域/ IP表格时,您可以通过几次点击删除并揭示此基础架构后面的内容,从而查看以前的恶意活动的历史证据,并提供归属信息,以帮助您扩大或快速关闭您的调查。通过为每一步拥有专用组件,THF紧密遵循事件响应过程。

有两种THF的味道:企业版本,适用于使用标准技术堆栈(电子邮件服务器,Windows域,Windows / MacOS端点,代理服务器等)的大多数业务组织,以及工业版本能够分析工业级协议并保护工业控制系统(ICS)设备和监督控制和数据采集(SCADA)系统。

威胁狩猎框架能够:

  • 分析网络流量并检测可疑活动(隐蔽频道,隧道,遥控器,C&C标号)通过使用传感器模块
  • 在第2层和第3层终止加密连接
  • 与本地和云电子邮件系统集成
  • 使用名为THF Huntpoint的EDR组件/系统提供对端点和管理事件的可视性。 THF HunpToint可以检测流行的特权升级攻击和横向运动技术(通过哈希/票,Mimikatz,NTLM Bruteforce,使用陆地二进制文件和类似工具)
  • 使用恶意软件爆炸平台THF多边形来分析文件
  • 使用来自任何分析的文件的THF Huntpoint,电子邮件通道,流量和行为标记的日志从任何源代码执行高级威胁操作
  • 通过关联各种THF模块之间的所有可用数据来检测异常和未知威胁
  • 从Group-IB的威胁情报中丰富了与数据/信息的事件&归因云数据库

所有数据都从中央仪表板和名为THF HunTbox的管理系统获得丰富的。 THF Huntbox在威胁狩猎和IR活动期间启用事件管理,事件与分析师之间的合作相关。可以使用所有网络流量异常,电子邮件警报,Huntpoint检测和文件在多边形内引爆,用户可以将事件数据(IOC)与威胁智能相关联&归因数据库通过使用图形分析和其他技术。

THF还可以通过向CERT-GIB(GROUP-IB的计算机应急响应团队)与专家进行进一步调查,以便对复杂事件提供更高水平的专业知识并增加SOC的成熟程度。

审查威胁狩猎框架

图1–威胁狩猎框架与所有可用组件的架构

THF组件

THF传感器和THF解密器

THF传感器是一个系统,用于实时分析传入和传出网络流量,使用基于ML的智能流量分析方法(以检测横向移动,DGA活动和隐蔽隧道)和签名,阻止可疑文件(通过代理,ICAP集成)。从网络流量收集的所有文件都可以发送到THF多边形,该文件爆炸系统用于行为分析。

传感器作为1U物理设备,或者可以根据您的用例和要求部署为虚拟机。为了在跨度端口上分析250Mbps,您需要至少32GB RAM和12个VCPU。传感器可以分析来自SPAN / RSPAN端口的镜像流量,从GRE隧道发送的Rspan点击设备或流量,这意味着在部署时,它对企业网络吞吐量没有影响。传感器支持各种带宽配置,标准版本支持250,000和5000 Mbps,但传感器可以支持高达10 Gbps的高吞吐量架构。客户端能够使用多个传感器并基本上覆盖任何带宽,即使在ISP级别也是如此。

在分析期间,THF传感器可以检测网络异常,如隐蔽通道,隧道,遥控器和横向运动的各种技术。它还可以从邮件流量中提取电子邮件内容并分析它–此功能非常有趣,因为它允许它发现在电子邮件中发送的存档文件的密码(并避免迫使他们)。

为工业系统 - THF传感器工业量身定制了特殊的THF传感器版本 - 能够解剖ICS协议。传感器工业支持各种ICS协议(Modbus,S7Comm,S7Comm +,UIM,OPCUA,OPCDA,IEC104,DNP3,DeltaAV,CIP,MQTT等),可以检测PLC上使用的软件和固件的拓扑变化和控制完整性。还可以根据通过配置选项可用的策略设置检测规则。

THF传感器可以通过使用THF解密器组件来分析加密的会话,该组件检测到TLS / SSL保护的会话,执行证书替换,可以路由代理流量。 THF DECRYPTOR支持所有流行的TLS版本(1.1–1.3)和密码套件。它可以部署并以各种模式运行:透明(桥接)模式,它在OSI层2上工作,其中它是用户网络的,或网关(路由器)模式,它充当用户网络的网关。

thf huntbox.

thf huntbox.是集团IB威胁狩猎框架的中央管理仪表板和报告点。它可以作为Web应用程序访问,并包含THF组件(THF传感器,THF多边形和THF HUNTPOINT)的管理功能,并充当用于管理事件,警报和事件的相关引擎以及所有收集的原始日志和其他的可扩展存储数据。通过THF Huntbox界面,用户可以看到活动详细信息,创建报告和升级事件,以及在本地和全球背景下进行威胁狩猎并进行威胁狩猎。 THF HunTox作为THF Polygon的动态分析报告的前端。

thf huntbox.

图2.–THF Huntbox欢迎屏幕是一个包含设备状态,统计和最新警报的仪表板

THF HunTbox有以下部分:

  • 事件 –关键票需要分析师的立即关注和解决。可以协作和评论组织内其他分析师的进度。我们与CERT-GIB合作,他们的支持是一个高价值的服务,可以增加用户的检测和响应能力
  • 警报 - 各种THF组件(例如,THF Polygon,THF Huntpoint)升级的潜在恶意事件,包含相关事件和检测信息
  • 图形 – Group-IB’在Group-IB威胁情报上运行的网络分析工具&归属数据库包含威胁数据和所有网络节点的历史信息(包括WHOIS历史,SSL,DNS记录等)智能,也是从各种地下通信渠道,论坛和社交网络收集的非结构化数据
  • 调查 –所有可用活动都位于这里。本节分为:
    • 电子邮件 –包含所有分析的电子邮件和潜在有害内容的检测
    • 文件 - 包含从网络流量,Proxy-Server,端点,电子邮件,文件共享中提取的所有文件。文件也可以手动上载用于动态分析或使用API​​自动进行动态分析。对于每个文件,有一个可用的多边形报告,可在文件是恶意或良性的情况下提供判决
    • 电脑 - 对于注册到THF实例的所有端点,包含有关和可用操作的详细信息和可用操作(例如,从网络隔离)
    • hunpoint事件 –包含从Huntpoint客户端收集的所有事件
    • 网络连接 - 含有来自传感器的提取网络连接。
    • 举报 - 包含给定日期范围内所有活动的摘要报告以及与特定事件,警报或事件相关的报告。

行动中的相关性

图3.–在行动中的相关性:从同一地址发送的多个恶意电子邮件导致事件的升级

我们在调查部分度过了大部分时间,搜索原始事件并梳理文件和电子邮件报告。事件及其元数据可以与SIEMS与Syslog和其他监控系统集成。 THF在所有模块中关联和聚合事件(例如,来自THF传感器的电子邮件以及恶意附件的THF多边形分析),并且可以根据您的配置,规则和策略自动或手动阻止它们(请参阅电子邮件中的图3)。 THF Huntbox工作流程很容易习惯,有助于减少分析师的认知负载,并允许他们专注于可行的警报。在中心位置存在所有三环功能并在图形视图下搜索其他上下文。

thf huntbox.还可以替换古典票务系统以跟踪事件和警报。警报和事件部分有助于事件响应工作流程,许多事件可以自动关联,分析师可以将警报链接到事件,手动关联事件和在时间轴上的评论。

在威胁狩猎活动期间发现的妥协指标(域,IPS,文件,电子邮件,HUNTPOINT事件)的特定指标通常由特定指标触发警报。事件包含一个或多个警报和其他相关事件,提供更多上下文。

协作选项删除了对此特定目的具有另一个系统的需求。分析师可以发表评论和附加文件(虽然更广泛的视图对冗长的评论有所帮助)。

审查威胁狩猎框架

图4.–警报包含一个时间表,可以协作和评论新发现

THF HUNTPOINT.

THF HUNTPOINT.是一个安装在端点上的轻量级代理,收集和分析所有系统更改和用户’S行为(80多个事件类型,包括创建的进程,进程间通信,注册表更改,文件系统更改,网络连接等),并从端点中提取文件,然后将它们转发到THF多边形以进行其他分析。它用于实现组织端点的完全可见性,并提供发生在其上的事件的完整时间表。

THF HunpToint检测异常并阻止恶意文件,可用于远程收集分类所需的法医数据或在入射响应期间隔离受感染的机器。可以使用类似于其他Siem查询语言的查询语言进行搜索的事件,如Splunk和Elasticsearch。可以在图5中看到事件细节的示例。

审查威胁狩猎框架

图5.–hunpoint事件细节

安装THF Huntpoint是一个简单的过程。我们手动安装它,但它可以使用组策略或通过集成在Active Directory的专用THF Huntpoint安装程序安装。

我们以各种格式(文档,可执行文件,zip,rar,iso)的恶意文件测试了我们的端点。我们的测试与Windows Defender关闭,关闭不会干扰THF Hunpoint的检测功能。 Huntpoint在第一个尝试时检测到所有恶意文件,文件被隔离并触发在THF HunTbox中可见的警报,如图6所示。

用huntpoint检测到恶意文件

图6 - 用huntpoint检测到的恶意文件

THF HunpToint对端点上发生的事情进行了大量洞察。所有用户活动–创建或打开文件/进程/线程/注册表项,网络流量等–在Huntbox中的Huntpoint事件部分下可见。

审查威胁狩猎框架

hunpoint事件

图7和8–Huntpoint事件按域名和IP地址搜索

要执行简单的测试,我们创建了一个文本文件(在图5中的THF Huntbox中可见的操作),我们访问了Helpnetsecurity.com(在图7中的THF Huntbox中可见的操作)。如果在文档中深入挖掘,我们成功找到了查询事件的所需字段。虽然,需要时间和耐心来习惯字段名称并与Huntpoint事件查询更复杂查询的Humpoint Events。

在THF Huntbox中,您可以保存未来调查的搜索,甚至与同事分享这些搜索。当您希望拥有“食谱”的基本查询来检测一些流行的误用案例(例如,可疑PowerShell下载)时,这会派上友好。

我们进行的其他THF Huntpoint测试与恶意软件感染有关。我们用勒索软件感染了我们的端点,并且可执行文件已发送到THF多边形以进行爆炸和最终判决。成功检测到感染(图9)并在警报下的THF Huntbox中可见。

多边形

图9.–检测已发送到多边形的勒索软件

在最后一次测试期间,端点上的THF Huntpoint客户端仅消耗了20-40 MB的RAM,对CPU使用率不明显的压力。从性能角度来看,您可以获得对资源的最小影响的完全可见性。由于在勒索软件感染期间发生了大量的事件,我们注意到在Huntbox中有一些事件开始之前存在短暂的延迟,但在一段时间后,所有事件都可以查询。

我们执行了简单的测试,看看是否在THF Huntpoint中记录了攻击者可以进行的所有方案,并在THF Huntbox中使用。例如,在图10和11中,您可以看到NetCat使用的检测和一个简单的编码PowerShell执行命令。

审查威胁狩猎框架

活动

图10和11–包含Netcat和PowerShell滥用的事件

我们还尝试使用Mimikatz将NTLM哈希出现在端点上,并且还成功地检测到该事件并升级到事件(图12)。

审查威胁狩猎框架

图12.–在Huntpoint端点上检测到mimikatz,可见为警报

THF HunpTatpoint仅适用于Microsoft Windows现在可用,但在不久的将来,也应该适用于MacOS和Linux这样的其他平台。

THF多边形

THF多边形是一个文件爆炸平台。它集成在THF中,目的是分析孤立环境中的未知文件和电子邮件。文件源可以是来自THF传感器的网络流量,ICAP集成用于Web - 流量分析,本地/公共文件存储,THF Huntpoint客户端或API集成。

Group-IB.已开发并维护开源库,以简化与THF Polygon API的集成,因此可以在任何现有的应用程序或工作流程中使用,这些应用程序或工作流程处理不受信任的文件源(票证系统,支持聊天等)。图书馆可提供 GitHub. 并开始使用它真的很容易。

我们喜欢的另一种集成能力是 现有集成 使用Palo Alto XSoAR解决方案:这允许将THF多边形归于在XSOAR平台上运行的现有安全工作流程。

审查威胁狩猎框架

图13.–分析文件的恶意行为标记

分析的文件在孤立的环境中执行,并且在几(2-5)分钟后,您可以获得有关文件,网络,注册表,记录的进程事件的完整行为分析报告(图13)。您可以通过显示分析的工件行为方式的视频预览执行更改。

行为标记可作为列表或作为人口稠密的仲裁ATT提供&CK矩阵(图14)。您还可以查看文件组合和过程树(图15),其可用于检测涉及过程变化的技术(例如,过程注入或过程中空处理)。

恶意标记

图14.–在临床球场中的恶意标记&CK matrix

使用THF多边形收集的所有IOC可以使用图形网络分析来丰富,以获得全局背景。 THF多边形也可以通过API使用,可以在完成时触发分析和获取结果。

过程树

图15.–THF多边形报告中的过程树

正如我们在此评论的方法部分中所描述的那样,我们尝试将恶意附件发送到受监视的邮箱。在图16-18中,您可以看到包含具有THF多边形的文件后成功检测到包含恶意文档和相同归档文档的文件。邮件集成适用于内部邮件服务器,但还可以扫描和检测基于云的邮箱的新组件(大气)(例如,Office 365或Google for Boogle)。邮件集成执行附件和链接分析,但也可以检测BEC和矛网络钓鱼(即,通常不包含附件或链接的电子邮件)。

电子邮件处理

审查威胁狩猎框架

电子邮件处理和检测行动

图16,17,18–电子邮件处理和检测行动

图形视图(Group-IB威胁情报& Attribution)

全球威胁情报&归因是一个威胁情报数据库和分析工具,是Group-IB的努力,旨在精心收集和扫描互联网十多年。数据库包含:

  • 整个可用的IPv4和IPv6空间(每日扫描)
  • 21100万SSH指纹
  • 6.5亿个域名,历史数据返回超过16年(包括DNS注册变更,WHOIS记录)
  • 1.6亿证书
  • 哈希的恶意文件
  • 从论坛和社交网络收集的数据

界面简单且与另一组IB产品类似的界面– the 欺诈狩猎平台.

此THF组件非常宝贵,因为有时您可以在调查某些事件时发现奇怪的域或哈希,并且您需要更多周围的上下文。您将指示器复制在图形视图中,在几秒钟内有一个整个连接的图形,可帮助您升级您的调查功能。

例如,我们使用了一个是情绪广告系列的一部分的恶意域,结果在图19中可见。您可以通过在实际图表下缩小时间轴来改进搜索结果。或者,您可以通过定义从主要of of中精制指示器数量的步骤数来控制图表的深度 –这有助于具有很多互连的指标。

审查威胁狩猎框架

图19.–图表显示有关情绪链接域的数据

THF负责私人数据,它符合各种数据安全性和隐私法规,因此它使用掩码隐藏私人信息(例如,可从社交网络提供的电话号码)。图表肯定有助于分析师,也有助于执法,因为它可用于构建恶意软件广告系列的后端基础架构的完整形象。国家证书,国际刑警组织和EUROPOL等组织并不罕见,并在恶意软件基础架构和运营中与Group-IB合作和合作。

文件

图20.–与域相关的文件

图形网络分析使特定指标的归属于特定的威胁,也可以将事件相关联,以便在第一次看不相关。在图21中,您可以看到我们的域名搜索导致归属于情绪活动。与手动分析相比,这可以是具有产卵的单个指示器的兔子孔也必须分析,图表分析可以节省您在日志中找到可疑域的时间。

审查威胁狩猎框架

图21.–域名giatot365.com归因于情绪,并揭开与之相关的人

结论和判决

威胁狩猎框架是一种雄厚的岩石固体产品,源于集团IB的丰富专业知识。它围绕社区应急响应团队中常见的古典事件处理工作流程。使用和可用于所有级别和Cisos的SoC分析师,可以获得摘要报告和统计数据,说明其基础架构的安全级别的摘要报告和统计数据。

在安装THF HUNTPOINT和THF传感器模块后,您将获得所有工具,以便在组织中触摸屏幕上的屏幕。在大多数情况下,可以在不留下THF Huntbox的情况下进行快速分类。根据您的用例方案,THF可以消除对全方位的暹粒并替换其功能,因为它围绕同一想法构建。

THF有一个非常温和的学习曲线。习惯了查询语言和事件字段后,您可以在威胁狩猎努力方面获得创意。 THF支持像Yara和Suricata等战斗测试的工具,使其与大多数威胁情报来源兼容,并使您能够进行自定义检测规则。它经过精心设计,以减少警报的数量,从而减少分析师的疲劳。这有时可以获得减少与红色组合技术相关的终点的一些自动检测的成本。

THF是分析师和事件响应者的宝贵工具。它不能取代人类专家,但它会发现异常并将它们与各个层相关联,因此它们不必手动进行。通过使用THF作为安全平台的CERT-GIB或其他经理安全服务提供者,可以通过使用THF来缓解纯粹的分析师。 Group-IB运行开放 伙伴关系计划 对于世界各地的MSSP来提供全世界的尖端安全服务。

我们可以推荐威胁狩猎框架,因为它能够在各个层(网络,电子邮件系统,文件,端点,云端)上运行并提供来自事件/事件的可操作分析的承诺。

事件管理功能可访问,对大多数组织来说都足够。 Group-IB.威胁情报& Attribution 将增强每个组织中的威胁情报和狩猎功能,使得快速分类或更深入的分析,将节省时间并减少对额外馈送的集成需求。

分享这个